Die Nut­zung von Dritt­dienst­leis­tern im Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­sek­tor (IKT) bie­tet Finanz­un­ter­neh­men Vor­tei­le, bringt jedoch auch neue Risi­ken und Abhän­gig­kei­ten mit sich. Um die­se Her­aus­for­de­run­gen zu meis­tern, wird ein neu­es Infor­ma­ti­ons­re­gis­ter ein­ge­führt, das Trans­pa­renz schafft und sowohl Unter­neh­men als auch Auf­sichts­be­hör­den unter­stützt^[1]Infor­ma­ti­ons­re­gis­ter und Anzei­ge­pflich­ten: Kon­zen­tra­tio­nen bei IT-Dienst­leis­tun­gen erken­nen.

Ver­net­zun­gen erkennen

Finanz­un­ter­neh­men müs­sen ein umfas­sen­des Risi­ko­ma­nage­ment imple­men­tie­ren, um die Ver­net­zun­gen mit IKT-Dritt­an­bie­tern zu erken­nen. Nur so kön­nen kri­ti­sche Dienst­leis­ter iden­ti­fi­ziert und Risi­ken effek­tiv gema­nagt wer­den. Der Digi­tal Ope­ra­tio­nal Resi­li­ence Act (DORA), der am 17. Janu­ar 2025 in Kraft getre­ten ist, legt kla­re Doku­men­ta­ti­ons- und Anzei­ge­pflich­ten fest.

Infor­ma­ti­ons­re­gis­ter

Das Infor­ma­ti­ons­re­gis­ter ist nicht nur ein Werk­zeug für die Auf­sicht, son­dern auch ein wich­ti­ges Instru­ment für Unter­neh­men, um die Risi­ken zu mana­gen. Es ermög­licht die Iden­ti­fi­zie­rung von Kon­zen­tra­tio­nen und geo­gra­fi­schen Abhän­gig­kei­ten in der Nut­zung von IKT-Dienstleistungen.

Auf­sicht durch BaFin

Die BaFin wird die Regis­ter nut­zen, um Risi­ken auf Makro­ebe­ne zu ana­ly­sie­ren und kri­ti­sche IKT-Dritt­an­bie­ter zu iden­ti­fi­zie­ren. Dies hilft, mög­li­che Aus­wir­kun­gen von IT-Vor­fäl­len bes­ser abzu­schät­zen und betrof­fe­ne Unter­neh­men früh­zei­tig zu warnen.

Test­lauf und Anforderungen

Im Som­mer 2024 wur­de ein Test­lauf durch­ge­führt, um Unter­neh­men bei der Ent­wick­lung ihrer Infor­ma­ti­ons­re­gis­ter zu unter­stüt­zen. Die BaFin hat die Anfor­de­run­gen aktua­li­siert und Vali­die­rungs­re­geln ange­passt, um die Daten­qua­li­tät zu verbessern.

Iden­ti­fi­ka­ti­ons­pflich­ten

Mit der neu­en Durch­füh­rungs­ver­ord­nung (EU) ²⁰²⁴⁄₂₉₅₆ wird klar­ge­stellt, dass sowohl der Legal Enti­ty Iden­ti­fier (LEI) als auch der Euro­pean Uni­que Iden­ti­fier (EUID) zur Iden­ti­fi­ka­ti­on von IKT-Dienst­leis­tern ver­wen­det wer­den müssen.

Zukünf­ti­ge Schritte

Finanz­un­ter­neh­men müs­sen ihr voll­stän­di­ges Infor­ma­ti­ons­re­gis­ter bis zum 11. April 2025 der BaFin über­mit­teln. Die BaFin stellt sicher, dass Unter­neh­men die erfor­der­li­che Unter­stüt­zung erhal­ten, um alle offe­nen Fra­gen zu klären.

Fazit

Die Ein­füh­rung des Infor­ma­ti­ons­re­gis­ters und die Ein­hal­tung der neu­en Anfor­de­run­gen unter DORA sind ent­schei­dend für das effek­ti­ve Manage­ment von Dritt­par­tei­en­ri­si­ken im Finanzsektor.